防患於未然 將「流氓」擋在系統之外

網路「流氓」是時下最流行的詞語之一，最突出的便是各種流氓軟體、插件，想著法的要在系統中駐紮生根。大家在極其反感之時，也發現這些「流氓」真的是無賴至極，一旦它們攻入到系統中，再想將其趕走就沒那麼容易了。因此，做到防患於未然，提前進行有效的防範措施，就遠比「亡羊補牢」要實在的多。

　　一、知己知彼，流氓種類細細數

　　先來簡單了解一下流氓家族，按其在系統中的表現形式可大體分為兩類。一是以獨立軟體的形式出現，代表人物有「播霸、網路豬」等，此類流氓可單獨行動，平白佔用大量系統資源，其主要依靠捆綁在一些軟體中，在安裝軟體的同時也偷偷進入到了系統內。二是以插件形式出現，代表人物有「划詞搜索、百度搜霸、中文網址」等，它們和瀏覽器、資源管理器「緊密集成」，看似無形卻有形，象牛皮癬一樣令人生厭！經常在訪問一些網站時，被莫名安裝在了系統中。

　　流氓軟體（插件）定義：凡未經用戶許可強行潛伏到用戶系統中，而且此類程序大多沒有卸載程序，無法正常卸載和刪除，在進行強行刪除操作后還會自動生成。其主要的流氓行為包括廣告程序、間諜軟體、IE插件等。

　　二、就地取材，赤手空拳攔截流氓

　　其實Windows XP本身（或常見的軟體）中的很多組件，即可有效的攔截流氓的入侵，我們只要就地取材即可阻擋大部分無賴插件。

　　1．用好註冊表，輕鬆屏蔽流氓插件

　　平時在訪問一些網頁時，經常會跳出要求安裝某些流氓插件窗口，這些插件是通過調用相應的ActiveX來安裝的，只要知道其在註冊表中相應的CLSID標識，便可阻截此類流氓的騷擾。比如要徹底屏蔽「ＣＮＮＩＣ」的安裝，打開記事本輸入下列內容並保存為cnnic.reg文件，然後導入註冊表，這樣下次就不會再彈出提示安裝窗口了。

　　Windows Registry Editor Version 5.00

　　#9A578C98-3C2F-4630-890B-FC04196EF420 CNNIC's CLSID

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility]

　　"Compatibility Flags"=dword:00000400

　　命令解釋：這裡的「{9A578C98 -3C2F-4630-890B-FC04196EF420}」就是「cnnic」的CLSID標識，其它流氓插件的CLSID標識可通過網路搜索獲得，之後按上述格式進行屏蔽即可。

　　對於Windows SP2和使用Maxthon瀏覽器的用戶，可啟用彈出窗口過濾功能，當彈出插件安裝窗口時，只要選擇「從不安裝」便可始終對流氓插件保持屏蔽狀態了。

　　2．用活組策略，廢掉流氓軟體安裝能力

　　系統組策略中有一項「軟體限制策略」，可有效阻止流氓軟體的安裝，不過該法的前提是要獲得流氓軟體本身，比如需要阻止「網路豬」的安裝，可進行如下操作。

　　步驟1：在「運行」欄中執行「gpedit.msc」命令，打開組策略編輯器，依次展開「計算機配置→Windows設置→安全設置→軟體限制策略」項，然後單擊菜單欄的「操作→創建新的策略」，新建一個策略。

　　步驟2：展開新建的策略，在「其它規則」上右擊選擇「新散列規則」，在彈出的窗口中單擊「瀏覽」按鈕，選擇網路豬安裝程序，這時會生成一個文件散列號碼，系統會讀取該文件的基本信息，如版本、公司名等。最後，只要將「安全級別」選擇為「不允許」即可（如圖1）。

　　

　　圖1

　　設置完成，以後只要在安裝新軟體時，如果其捆綁了網路豬，那麼不管安裝程序改成什麼名字，只要流氓軟體源數據沒有發生變化，系統便會拒絕安裝，從而有效的避免了此類「隱形」流氓。

　　流氓軟體可從其官方主頁下載，然後將其導入限制策略，可以依次導入多種常見的流氓軟體。注意當流氓軟體推出新版本時，應及時更新限制策略，做到全面攔截。

　　　三、擦亮雙眼，程序安裝莫盲目

　　　1．安裝前的選擇

　　很多流氓軟體是通過自解壓形式捆綁在應用程序中的。安裝這類軟體時應先用WinRAR解壓，然後提取其中所需的文件即可。比如「水晶情緣熱鍵專家」就捆綁多個流氓軟體，用WinRAR打開后只要解壓其中的「hykey.exe」即可（如圖2）。

　　

　　圖2

　　　　2．安裝過程中的選擇

　　其實很多捆綁了流氓軟體的安裝程序都有一些說明，只要在安裝時注意加以選擇即可避免流氓的入侵，比如「千千靜聽」就捆綁了「百度搜霸」，在安裝到最後一步時，取消勾選安裝百度搜霸即可。

　　被捆綁的流氓軟體在安裝時都有一個釋放過程，一般是釋放到系統臨時文件夾（C:WindowsTemp），如果在安裝軟體時發現異常，可啟動任務管理器終止應用程序的安裝，通過進程列表可看到被釋放的流氓軟體安裝程序進程，根據進程路徑打開目錄將流氓軟體刪除即可。如果是自解壓文件，默認解壓路徑一般在「Cocuments and Settings當前用戶Local SettingsTemp」下，以RarSFX0、RarSFX1…….命名的文件夾中，可在此找到流氓軟體的安裝程序並刪除。

　　　四、未雨綢繆，用許可權打好預防針

　　對於自己經常遭遇的流氓，還可預先在其安裝路徑下建立文件夾，比如「Vika」是安裝在「Crogram FilesVika」目錄中，可先在上述路徑建立對應的文件夾，然後通過許可權設置，將「Vika」文件夾的許可權設置為不允許任何人寫入，這樣即使不小心運行了Vika安裝程序，也會因為沒有寫入許可權，而導致流氓軟體安裝失敗（如圖3）。只是該法需先知道流氓軟體的安裝路徑，系統所在分區也要為NTFS格式。

　　

　　圖3

　　　五、聘請外援，專業軟體阻截流氓

　　現在的流氓軟體智商越來越高，使用上面的方法也不能做到萬無一失，這時不妨藉助一些專業的軟體來進行「專項治理」。

　　　　1．插件王牌管家Upiea

　　

　　Upiea可顯示出當前已安裝的插件並可進行完全的卸載，由於它已將常見的流氓插件按類別歸類好，所以運行程序后只要選擇相應的類別並勾選需要免疫的項目，然後單擊「應用」即可將要提防的流氓插件徹底拒絕在系統之外（如圖4）。

　　

　　圖4

　　軟體屏蔽的原理是通過向註冊表中添加相應的鍵值來達到目的，這可使流氓插件誤認為已在本機安裝過。所以在使用Upiea時，不要屏蔽過多插件，否則會向註冊表中寫入很多鍵值，影響系統運行速度。只要按需定製，屏蔽經常騷擾自己的插件即可。

　　　2．安裝程序監工System Safety Monitor

　　System Safety Monitor可調整程序性能並控制它們對本地資源的存取，安裝程序任何新增的進程都會被它截取。運行它后，先單擊「選項→語言」切換到簡體中文界面，之後單擊「選項→程序」命令，在程序特徵中設置「阻止進程創建」項，使其可在後台監控進程創建。由於流氓軟體安裝時會創建新的進程，所以它便可及時阻止流氓軟體的安裝，比如筆者在安裝Winamp時，程序便及時的阻止了流氓軟體的運行，根據程序名稱很容易便判斷出了其中的流氓程序（如圖5）。

　　

　　圖5

　　System Safety Monitor的監控功能很強大，不過為避免其影響系統的運行速度，可以選擇在安裝新軟體時，再運行並啟動它的監控功能。